Hỏi về: Nên công bố lỗi ra để họ fix hay kiên nhẫn đợi thư?

[mrwh1techiken]

Thì lần trước em nghe theo các tiền bối và em đã học rất nhiều về mảng website security,thì em cũng có nghịch đôi chút với 1 số website và phát hiện 1 website có tên miền .gov.vn bị lỗi xss,em đã thử khai thác 1 số thứ và gửi mail cho họ,em đã gửi cho ncsc, và mail [email protected] sau đó gửi mail cho chính website ấy, đợi 2 ngày rồi 2 thư em gửi vẫn chưa có phản hồi gì, các bác nghĩ em nên công bố lỗi ra để họ thấy fix hay kiên nhẫn đợi thư?

Em dùng clickjacking để chèn mã iframe vô và website hiển thị giao diện của 1 trang "thể thao lành mạnh" và 1 số lỗi để phishing và chuyển hướng url.

 

Trường hợp này bạn đã gửi báo cáo thì nên chờ họ phản hồi và sửa lỗi. Việc tấn công, khai thác khi chưa được phép là vi phạm pháp luật và có thể dẫn đến những rắc rối không cần thiết. Nếu muốn tập luyện nâng cao khả năng, bạn nên tham gia các cuộc thi ctf hoặc luyện tập với các website tại đây.

 

update ngày 15/7 website https://heritagevietnamairlines.com/ đã fix lỗi xss,mình khá vui nhưng khá buồn vì họ âm thầm fix mà không vinh danh hay cảm ơn mình,nếu họ nói 1 lời cảm ơn thì chắc mình sẽ nhảy lên vui sướng vì lần đầu được công nhận và vinh danh...